1 INTRODUCTION GÉNÉRALE Au fil des années, les technologies de l’information ont complètement révolutionné notre société et envahi notre vie. En parallèle, il y’a lieu de noter un accroissement fulgurant des menaces, intentionnelles ou non, pouvant porter atteinte au caractère confidentiel, à l’authenticité et à la disponibilité des informations conservées dans les systèmes informatiques des entreprises et des particuliers1. Depuis l'Égypte ancienne, l'homme a voulu pouvoir échanger des informations de façon confidentielle. Aujourd’hui plus qu’hier, à l'heure « du tout disponible partout et tout de suite », le transport des données est une réalité qui mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre un système d'information.2 C’est pour cela que l'informatique est devenue pour l'entreprise un outil incontournable de gestion, d'organisation, de production et de communication, il faut pour cela s’assurer et se rassurer de la protection des données. Tous (Entreprise et individu) cherchent à se protéger contre une utilisation frauduleuse de leurs données ou contre des intrusions malveillantes dans leurs systèmes informatiques. Cependant, une attaque informatique cause de graves dommages, l'exploitation des vulnérabilités découvertes par des assaillants débordant d’ingéniosité qui font d'eux une cible de choix. La tendance actuelle n’est pas seulement de mettre en place des mécanismes des contrôles d’accès et des systèmes sécurisés qui apportent plusieurs services : l’authentification, la confidentialité, l’intégrité, la non-répudiation, mais, de les combiner avec des tests d’intrusion qui évaluera le niveau de sécurité du système informatique existant. La sécurisation, de nos jours, des réseaux d’entreprises implique plus qu’une simple gestion des patchs, des firewalls, des systèmes des détections d’intrusion, d’antivirus et de la formation des utilisateurs, etc. Elle nécessite souvent une confrontation au monde réel, afin de comprendre ce qui fonctionne et ce qui ne fonctionne pas, ou plus. C’est ce que représentent les tests d’intrusion, étant donné que, le test d’intrusion peut être vu comme une tentative légale et autorisée de localiser un système informatique et de réussir à y pénétrer dans le but d’améliorer leur niveau de sécurité, souvent laissé de côté par des entreprises ou des particuliers jusqu’au jour où ils s’aperçoivent que leurs systèmes ont été visités par un pirate informatique3. Pour ce faire, le présent travail se porte sur la sécurité réseau basée sur le filtrage, scannage, détection et prévention d’intrusion. 1 Thomas Cambrai, cyber sécurité, ,2e éd. France, Pearson ,2010. ACISSI, Joëlle MUSSET, Apprendre l'attaque pour mieux se défendre, 3e éd. France, ENI, 2009. 2 3 Yuri Sakharov, hacking sécurité et tests d’intrusion avec metasploit, France, Pearson, 2013. 2 1. PROBLEMATIQUE Durant, nos recherches à l’institut supérieur d’informatique Chaminade (I.S.I.C, en sigle) qui est un établissement privé d’enseignement supérieur en République Démocratique du Congo, où nous avons compris qu’il ne suffit pas de déployer le réseau informatique avec tous les systèmes des sécurités possibles et de s’arrêter à ce dispositif, mais au contraire, de l’évaluer fréquemment après son déploiement afin d’assurer la sécurité du réseau. D’après le constat fait tout au long de nos recherches à l’institut supérieur d'informatique Chaminade est : Il n’y a jamais eu d’évaluation de niveau des risques (test d’intrusion), ce qui fait de l’institut, une cible potentielle d’une attaque cybernétique, puisqu'ils ne connaissent pas leurs niveaux de sécurité et la dangerosité que représentent les vulnérabilités au sein de leur infrastructure réseau. Face à ce problème, plusieurs questions méritent d’être posées, entre autres : ❖ Comment intégrer un système de sécurité dans le réseau existant, pour réduire quel risque ? ❖ Comment déployer un système de détection et de prévention d’intrusion ? ❖ Comment appliquer le correctif sur un système vulnérable ? 2. HYPOTHESE Les entreprises traitent et manipulent à un plus haut degré de multiples informations en ligne, en effet pour mettre en place une politique de sécurité, d'après les catégories ou sources des vulnérabilités (matériel, logiciel, physique, humain). L’intégration du système de sécurité dans l’existant dépendra du résultat obtenu de test d’intrusion, qui s’effectuera à l’aide d’un système spécialisé, en procédant par la méthodologie appropriée. Car il permettra d’identifier les menaces, les risques potentiels ainsi que les différentes voies par lesquelles un pirate pourrait arriver à compromettre le système informatique. • • • Le déploiement du système de détection et prévention d’intrusion s’effectuera à l’aide d’un outil, pour localiser et identifier les faiblesses connues des services, les logiciels informatiques. En outre, la détection d’intrusions reste une nécessité pour assurer la complétude d’une politique de sécurité. Ce qui fait des systèmes de détection d’intrusions un élément crucial pour une sécurité optimale d’un réseau. Ils permettent de détecter les tentatives d’intrusions tout en prenant en compte la base de signature des différentes attaques connues. Il faut noter également que la prise en compte de l'humain s'avère indispensable par la sensibilisation du personnel, sur la réglementation, et les aspects juridiques. De plus pour appliquer les correctifs sur un système vulnérable, les mises à jour quotidiennes, les fichiers exécutables contenant des codes de corrections.... 3 3. CHOIX ET INTÉRÊT DU SUJET L’outil informatique fait partie intégrante du métier de l’entreprise, car il est incontournable. Il est cependant vulnérable aux menaces externes (Internet) ou internes, aux logiciels malveillants et attaques affectant son système d’information. Étant donné le choix de notre sujet qui porte sur la mise en place d'un système de détection et prévention d’intrusion dans un réseau intranet, la sécurité informatique est un besoin quotidien tant pour les humains que pour un système d’information, en occurrence celui de l’institut supérieur d’informatique Chaminade. L’intérêt est d’autant plus légitime à différents niveaux d’appréciation, à savoir : ❖ Pour l’organisme : contrôler le flux qui circule au sein de son système informatique ; ❖ Pour l’individu : renforcement des capacités quant au domaine de la sécurité informatique ; ❖ Pour le monde scientifique : ce travail servira pour une documentation de recherche et d’inspiration pour le monde scientifique évoluant dans le domaine de la sécurité informatique. 4. DÉLIMITATION DU SUJET ❖ Dans le temps, ce présent travail couvre la période allant du mois de novembre 2019 à octobre 2020 ; ❖ Dans l’espace, c’est à l’institut supérieur d’informatique Chaminade que nous allons déployer notre système de détection et prévention d’intrusion, qui se situe, sur l’avenue Kikwit n°1 Q/Mazamba C/Mont-Ngafula, dans la ville province Kinshasa. 5. MÉTHODES ET TECHNIQUES DU TRAVAIL Pour la réalisation de notre travail scientifique, nous avons fait recours à différentes méthodes et techniques, qui nous ont permis d’analyser, de décrire, de projeter pour pouvoir atteindre l’objectif souhaité, à savoir : 4 5.1. MÉTHODE ❖ La méthode structuro — fonctionnelle : nous a permis de comprendre la structure et le fonctionnement de l’établissement cible de notre travail ainsi que son organisation ; ❖ La méthode historique : nous a permis de faire une étude rétrospective de l’existence ; ❖ La méthode descriptive : nous a permis d’établir une description sur le fonctionnement de la sécurité informatique au sein de l’organisme. 5.2. TECHNIQUE • L’interview : nous a permis de recueillir des informations utiles auprès des animateurs ; • La technique de consultation : la technique de consultation nous a permis de consulter les sites internet pour obtenir les données essentielles ou contenues en rapport avec notre travail ; • L’analyse documentaire : nous a permis de consulter les livres et notes des cours et d’analyser la documentation en rapport avec notre travail4. 6. SUBDIVISION DU TRAVAIL Hormis, l’introduction et la conclusion générale, notre travail comporte trois chapitres divisés comme suite : Le premier chapitre aborde la généralité sur la sécurité informatique, quelques rappels théoriques des différentes attaques les plus connues, la politique de sécurité informatique et ses différents objectifs. Le deuxième chapitre est réservé sur l’étude de cas, la présentation de l’organisme d’accueil. Son but est de se familiariser avec l’institut supérieur d’informatique Chaminade et de se fixer ainsi les idées sur l’architecture générale de notre organisme d'accueil. Le troisième chapitre est consacré à la mise en place de système de détection d’intrusion. Lequel est scindé en deux parties primordiales : La première comporte sur la présentation des outils du système. Quant à la seconde partie, elle est axée sur les tests de fonctionnement pour s’assurer que le système de sécurité et fiable. 4 Dr. P. MPUKU, Notes de Méthode de Recherche Scientifique, G2 IG et RTM, ISIC, Kinshasa ,2018-2019. Inédit. 5 CHAPITRE 1 : GENERALITES SUR LA SECURITE D’UN RESEAU INTRANET INTRODUCTION L’univers des systèmes d’information est composé de réseaux et de systèmes informatiques, qui jour après jour prend une place et joue un rôle plus important dans les entreprises. Cependant, le présent chapitre nous donnera un aperçu sur la sécurité informatique en général, tout en mettant un accent particulier aux concepts ayant un lien direct avec notre sujet. En cela, nous énumérons la compréhension d’une vulnérabilité, le scan des vulnérabilités, l’intrusion ainsi qu’à la politique de sécurité. 1.1. LE RESEAU INTRANET Dans cette section, nous développons les aspects théoriques sur les réseaux 1.1.1. Définitions des concepts Voici quelques définitions relatives à notre sujet. 1. Intranet Un intranet est un réseau local propre à une entreprise (organisation) permettant aux collaborateurs d’accéder aux informations interne et d’échanger entre eux. 2. Internet Ensemble de réseaux mondiaux interconnectés qui permet à des ordinateurs et à des serveurs de communiquer efficacement au moyen d'un protocole de communication commun (IP). Ses principaux services sont le Web, le FTP, la messagerie et les groupes de discussion. 3. Extranet Un extranet n'est ni un intranet, ni un site internet, il s'agit d'un système supplémentaire offrant aux clients d'une entreprise, à ses partenaires ou à des filiales, un accès privilégié à certaines ressources informatiques de l'entreprise par l'intermédiaire d'une interface Web. 1.1.2. But de l’intranet Le but de l’intranet se résume en ces points : • • • • L’intranet doit faciliter la production et la transmission rapide d’informations utiles à l’ensemble du personnel. Les bénéfices à attendre sont une amélioration des processus de travail l’information devient unique, centralisée et accessible. Une économie de moyen, un gain de temps et d’efficacité pour les délais de production, de diffusion et de mise à jour de l’information sont les bénéfices les plus certains de l’intranet. Il permet de mettre en œuvre des outils de communication transverses facilitant ainsi les échanges entre les différents services au sein d’un établissement. 6 1.1.3. Modèle OSI et TCP/IP Le modèle TCP/IP, comme nous le verrons plus bas, s’est progressivement imposé comme modèle de référence en lieu et place du modèle OSI5. I.1.3.1. Le Modèle OSI Le modèle OSI (Open System Interconnexions) est un modèle générique et standard D’architecture d’un réseau en 7 couches, élaboré par l’organisme ISO (Organisation Internationale de normalisation) en 1984. La mise en évidence de ces différentes couches se base sur les caractéristiques suivantes qui étaient recherchées par l’ISO : • • • • • Création d’une couche lorsqu’un niveau d’abstraction est nécessaire. Définition précise des services et opérations de chaque couche. Définition des opérations de chaque couche en s’appuyant sur des protocoles normalisés. Choix des frontières entre couches de manière à minimiser le flux d’information aux interfaces. Définition d’une couche supplémentaire lorsque des opérations d’ordre différent doivent être réalisées. Les différentes couches du modèle OSI : Dans le découpage en 7 couches, on distingue : • • Les couches basses (1-4) : transfert de l’information par les différents services de transport. Les couches hautes (5-7) : traitement de l’information par les différents services applicatifs. La figure I.1. Ci-après Illustre le modèle OSI 5 BenbrahimEmbarka_AmicheSelyna 7 Figure I.1 : Le modèle OSI. Les couches détaillées du modèles OSI est : ➢ Couche physique : La couche physique (physical) gère la communication avec l’interface physique afin de faire transiter ou de récupérer les données sur le support de transmission, qui peut être électrique, mécanique. Ce sont les contraintes matérielles du support utilisé qui décident des objectifs à atteindre pour cette couche : conversion en signaux électriques, taille et forme des connecteurs, dimensions et position des antennes, etc. ➢ Couche liaison de données : La couche liaison (liaison de données : datalink) s’occupe de la bonne transmission de l’information entre les nœuds via le support, en assurant la gestion des erreurs de transmission et la synchronisation des données. Là aussi, le support de transmission conditionne les protocoles à mettre en œuvre. ➢ Couche réseau : La couche réseau (network) a en charge de déterminer le choix de la route entre les nœuds afin de transmettre de manière indépendante l’information ou les différents paquets la constituant en prenant en compte en temps réel le trafic. Cette couche assure aussi un certain nombre de contrôles de congestion qui ne sont pas gérés par la couche liaison. ➢ Couche transport : La couche transport (transport) supervise le découpage et le réassemblage de l’information en paquets, contrôlant ainsi la cohérence de la transmission de l’information de l’émetteur vers le destinataire. ➢ Couche session : La couche session (session) gère une communication complète entre plusieurs nœuds, permettant, ainsi d’établir et de maintenir un réel dialogue suivi (une session), pouvant être constitué de temps morts pendant lesquels aucune donnée n’est physiquement transmise6. ➢ Couche présentation : La couche présentation (présentation) a en charge la représentation des données, c’est-à-dire de structurer et convertir les données échangées 6 https://fr.wikipedia.org/wiki/mod%c3%a8le_osi, 23 juin 2021 à 11 :37. 8 ainsi que leur syntaxe afin d’assurer la communication entre des nœuds différentes (différences hardware et/ou software). ➢ Couche application : La couche application (application) est le point d’accès des applications aux services réseaux. On y retrouve toutes les applications de communication via le réseau communément utilisé sur un LAN ou sur Internet : applications de transfert de fichier, courrier électronique, etc. I.1.3.2. Le Modèle TCP/IP 1. Définition Dans les années 1970, le département de la Défense américain, ou DOD (Department Of Defense), décide, devant le foisonnement de machines utilisant des protocoles de communication différents et incompatibles, de définir sa propre architecture. Cette architecture, dite TCP/IP, est à la source du réseau Internet. Elle est aussi adoptée par de nombreux réseaux privés, appelés intranet. Les deux principaux protocoles définis dans cette architecture sont les suivants : • IP (Internet Protocol), de niveau réseau, qui assure un service sans connexion. • TCP (Transmission Control Protocol), de niveau transport, qui fournit un service fiable avec connexion. 2. Découpage en couche Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-ci. Cependant, on peut faire correspondre les différents services utilisés et proposés par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle en 4 couches. Les couches du modèle TCP/IP sont représentés ci-après : ➢ La couche Hôte-réseau : La couche hôte-réseau, intégrant les services des couches physique et liaison du modèle OSI, a en charge la communication avec l’interface physique afin de transmettre ou de récupérer les paquets de données qui lui sont transmis de la couche supérieure. Le protocole utilisé pour assurer cet interfaçage n’est pas explicitement défini puisqu’il dépend du réseau utilisé ainsi que du nœud (Ethernet en LAN, X25 en WAN, ...etc.). ➢ La couche Internet : La couche Internet, correspondant à la couche réseau du modèle OSI, s’occupe de l’acheminement, à bonne destination, des paquets de données indépendamment les uns des autres, soit donc de leur routage à travers les différents nœuds par rapport au trafic et à la congestion du réseau. Il n’est en revanche pas du ressort de cette couche de vérifier le bon acheminement. 9 Le protocole IP (Internet Protocol) assure intégralement les services de cette couche, et constitue donc l’un des points-clefs du modèle TCP/IP. Le format et la structure des paquets IP sont précisément définis. ➢ La couche Transport : La couche transport, pendant de la couche homonyme du modèle OSI, gère le fractionnement et le réassemblage en paquets du flux de données à transmettre. Le routage ayant pour conséquence un arrivage des paquets dans un ordre incertain, cette couche s’occupe aussi du réagencement ordonné de tous les paquets d’un même message. Les deux principaux protocoles pouvant assurer les services de cette couche sont les suivants : • • TCP (Transmission Control Protocol) : protocole fiable, assurant une communication sans erreur par un mécanisme question/réponse/confirmation/ synchronisation (orienté connexion). UDP (User Datagram Protocol) : protocole non fiable, assurant une communication rapide mais pouvant contenir des erreurs en utilisant un mécanisme question/réponse (sans connexion). ➢ La couche Application : La couche application, similaire à la couche homonyme du modèle OSI, correspond aux différentes applications utilisant les services réseaux pour communiquer à travers un réseau. Un grand nombre de protocole divers de haut niveau permettent d’assurer les services de cette couche : • Telnet : ouverture de session à distance. • FTP (File Transfer Protocol) : protocole de transfert de fichiers. • HTTP (HyperText Transfer Protocol) : protocole de transfert de l’hypertexte. • SMTP (Simple Mail Transfer Protocol) : protocole simple de transfert de courrier. • DNS (Domain Name System) : système de nom de domaine. Les services Internet utilisés dans l’intranet L’intranet est un réseau d’entreprise utilisant les services Internet ci-dessous : 1) Le courrier électronique (e-mail) : Le courrier électronique est le service le plus utilisé (en nombre de connexion par jour) sur Internet : nous pouvons transmettre un message écrit en quelques secondes à un interlocuteur situé à plusieurs milliers de kilomètres. Avec un plus grand débit de données, nous pouvons transmettre du son et de la vidéo en temps réel ce qui facilitera les réunions entre les experts comptables, leurs collaborateurs et leurs clients. 2) Les forums électroniques : Le développement des messageries a permis de créer des centres virtuels de discussion entre spécialistes classés par centre d’intérêt d’une part et les internautes intéressés par un sujet donné d’autre part. Il suffit de s’inscrire dans une liste pour recevoir tous les messages concernant un thème particulier. Ces groupes couvrent les domaines les plus vastes : culture, science, politique, informatique, loisir, 10 religion ou par domaine d’activité (comptabilité, juridique…) et chacun peut trouver un contact pour échanger des idées sur un thème particulier. 3) Le transfert des fichiers (FTP) : C’est le module de téléchargement d’Internet, qui permet de transférer sur son micro-ordinateur la copie d’un fichier existant. Pour rechercher des fichiers, il faut se connecter à un site, identifié en général par le préfixe « ftp » au moyen d’un moteur de recherche, qui offre en outre la possibilité de connaître sur quel serveur se trouve un fichier. 4) Le World Wide Web (www) : L’invention du Web constitue un événement majeur dans l’histoire de l’Internet car il est l’élément déterminant qui a permis de rendre le réseau accessible à un plus large public. Créé par le CERN (Centre Européen de Recherches Nucléaires) en 1989, le www ou World Wide Web permet d’accéder à une grande masse de documents à l’aide d’un logiciel de navigation. Nous pouvons, en outre, rapatrier des articles pour les retravailler avec un logiciel de traitement de texte sur son ordinateur. 5) La visioconférence : La visioconférence est la technologie qui permet à plusieurs personnes distantes géographiquement de se regrouper dans un lieu virtuel matérialisé par leurs écrans afin de converser comme si elles étaient dans un même lieu bien réel7. 6) Les services de bases de données (pour le stockage des informations). I.1.3.3. Modèle OSI comparé à TCP/IP. 7 https://wikimemoires.net/2012/09/les-services-de-linternet-e-mail-intranet-et-extranet/ 11 La figure I.2 Illustre le modèle OSI et le modèle TCP/IP. Figure I.2 : le modèle OSI et le modèle TCP/IP. Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-ci. Cependant, on peut faire grossièrement correspondre les différents services utilisés et proposés par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle en 4 couches. Les services des couches 1 et 2 (physique et liaison) du modèle OSI sont intégrés dans une seule couche (hôte-réseau), les couches 5 et 6 (session et présentation) n’existent pas réellement dans le modèle TCP/IP et leurs services sont réalisés par la couche application si besoin est8 : I.1.4. Avantages de l’intranet Les avantages de l’intranet sont définis ci-après 1. Amélioration de la productivité et de l’engagement des collaborateurs Grâce à ses fonctions communautaires, l’intranet favorise le partage et la communication. C’est le réseau social interne à votre entreprise avec la possibilité de mettre à disposition : éditer et partager des documents, des formulaires (demande de congés…) • Partager des informations diverses (annuaire d’entreprise…) • Mettre à disposition un agenda, un calendrier ou encore un planning de présence / absence, • Manager la gestion de projet. C’est aussi un outil collaboratif très utile lorsque les salariés d’une entreprise sont déployés sur plusieurs sites. 8 https://www.lyceerotroudreux.com/images/nsi/modele_tcpip.pdf 12 2. Une conception sur-mesure à votre image L’intranet sur-mesure se personnalise et s’adapte à vos besoins. Sur le même principe qu’un logiciel de gestion sur-mesure, il bénéficie d’une interface claire et intuitive et centralise les fonctionnalités dont vous avez besoin et uniquement celles dont vous avez besoin ! L’intranet s’intègre également dans votre environnement informatique existant. 3. Un outil disponible et accessible partout Dernier avantage et pas des moindres : son accessibilité ! Hébergé sur un serveur, l’intranet est disponible partout et à tout moment. Pas d’installation requise sur un ordinateur ! L’intranet n’est pas réservé aux grandes entreprises. C’est l’outil idéal pour favoriser la communication en interne, le partage d’information et la collaboration entre employés. I.1.5. Inconvénients de l’intranet Les inconvénients de l’intranet sont expliqués ci-après : 1. Faiblesses de l'utilisateur La partie la plus faible de tout système de sécurité est souvent ses utilisateurs. Lorsque tous les ordinateurs de votre entreprise sont reliés par un réseau intranet, toute machine compromise donnera accès à l'information partagée sur le réseau. Si les utilisateurs comptent sur les mots de passe faciles à deviner ou accidentellement télécharger des logiciels malveillants ou des logiciels espions, l'ensemble de votre réseau pourrait être compromise en raison de l'erreur d'un seul individu. La menace augmente si les utilisateurs peuvent accéder à votre intranet d'ordinateurs personnels ou des ordinateurs portables. 2. Le coût de mise en œuvre Construire et mettre en œuvre un réseau intranet peut être coûteux. Selon le nombre d'utilisateurs dont vous avez besoin connecté et quel type de mesures de sécurité que vous souhaitez mettre en œuvre, l'ajout d'un intranet peut exiger un investissement important. En outre, les ordinateurs plus anciens devront être mis à jour pour interagir plus facilement avec le réseau et les utilisateurs auront besoin d'être formés sur la façon d'utiliser efficacement l'intranet pour les tâches liées au travail. Tous ces facteurs peuvent augmenter le coût total de la mise en œuvre. 3. Sécurité du fichier 13 Il est vrai que le partage de fichiers et de documents entre les utilisateurs peut accroître la productivité, il est également vrai que le partage de fichiers les met plus à risque. Lorsque plusieurs personnes sont des équipes travaillent sur des documents en même temps, il est plus facile pour les documents qui doivent être potentiellement être supprimés ou endommagés. Par exemple, "Toy Story 2" a été célèbre supprimé par une commande accidentelle émise par un utilisateur et a seulement été récupérés grâce à une copie de sauvegarde de la chance d'un employé qui travaillait à la maison. Une société reposant sur l'intranet doit être proactif sur la définition des autorisations de fichiers et de dossiers pour assurer de simples erreurs à ne pas endommager un projet9. 4. Coûts permanents Intranets ne sont pas seulement coûteux à mettre en œuvre, ils doivent être maintenus. Les coûts à considérer au sujet de votre intranet comprend des mises à jour logicielles, les mises à niveau du serveur, la formation de nouveaux employés et de conseil concernant les améliorations et modifications intranet. Une entreprise avec un réseau intranet sera également besoin d'un personnel informatique à temps plein pour maintenir le réseau, garder les ordinateurs connectés, et faire face aux problèmes qui se présentent. Extranet nécessite moins de la manière de la surveillance du réseau10. I.2. LA SECURITE INFORMATIQUE La notion de sécurité informatique couvre l'ensemble des moyens outils, techniques et méthodes pour garantir que seules les personnes ou autres systèmes autorisés interviennent sur le système et ont accès aux données, sensibles ou non. 1.2.1. Définition de la sécurité informatique La sécurité informatique est l'ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité des systèmes informatiques. 1.2.2. Objectifs de la sécurité informatique On peut définir les objectifs de la sécurité informatique comme suit : 9 • L’intégrité : l’information ne sera modifiée que par les personnes autorisées. • La confidentialité : demande l’information qui se trouve dans le système soit lue que par les personnes autorisées. intranet : avantages et inconvénients pour des solutions entreprise (happeo.com) 10 http://www.jdfineart.com/inconvenients-de-intranets-01.html 14 • La disponibilité : demande que l’information qui se trouve dans le système soit disponible aux personnes autorisées. • Le non répudiation : permet de garantir qu’une transaction ne puisse être niée. • L’authentification : consiste à assurer que seules les personnes autorisées aient accès aux ressources11. 1.2.3 Menace de sécurité La menace désigne l’exploitation d’une faiblesse de sécurité par un attaquant, que ce soit interne ou externe à l’entreprise. La probabilité qu’elle soit une faille de sécurité, est évaluée par des études statistiques même si elle est difficile à réaliser. 1.2.3.1. Définition de la Menace Une menace de sécurité ou un évènement ou une action qui perturbe le système d’information. Elle inclut les erreurs volontaires ou involontaires, les fraudes, les actions possibles des employés mécontents, les incendies et autres causes naturelles, les hackers, les programmes néfastes ou virus. 1.2.3.2. Types de Menace Selon la classification, les menaces sont divisées en deux types, suivant le niveau de danger qu’elles représentent : • Menace Passive : sont les attaques où l’attaquant se met en écoute non autorisée, en surveillant simplement la transmission ou la collecte d’informations. L’oreille indiscrète n’apporte aucun changement aux données ou au système. Nous citons comme menace l’interception. • • • Menace active : sont les attaques dans lesquelles l’attaquant tente de modifier l’information ou crée un faux message. La prévention de ces attaques est assez difficile en raison d’un large éventail de vulnérabilités physiques, de réseaux et de logiciels. Au lieu de la prévention, il met l’accent sur la détection interruption de l’attaque et la récupération de toute perturbation ou retard causé par celui-ci12. Voici quelques exemples des menaces actives ; Interruption ; Modification et 11 sécurité des systèmes d'information — wikipédia (wikipedia.org) 12 différence entre attaque active et attaque passive - waytolearnx 15 • Fabrication 1.2.3.3. Vulnérabilités Une vulnérabilité ou faille est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à l'intégrité des données qu'il contient. Ces vulnérabilités sont la conséquence de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou logiciel du système, mais il s'agit souvent d'anomalies logicielles liées à des erreurs de programmation ou à de mauvaises pratiques. Ces dysfonctionnements logiciels sont en général corrigés à mesure de leurs découvertes, mais l'utilisateur reste exposé à une éventuelle exploitation tant que le correctif (temporaire ou définitif) n'est pas publié et installé. 1.2.3.4. Risque de sécurité Les menaces engendrent des risques et des couts humains et financiers : perte de confidentialité des données sensibles, indisponibilité des infrastructures et des données, dommages pour le patrimoine intellectuel et la notoriété. Les risques peuvent survenir si les systèmes menacés présentent des vulnérabilités. Risque= menace x vulnérabilité Contre-mesure 1.2.3.5. Attaque de sécurité Une attaque est le résultat de l’exploitation d’une faille d’un système informatique (système d’exploitation, logiciel, erreur de configuration...etc.) à des fins non connues par l’exploitant du système et il est généralement préjudiciables. 1. Anatomie d’une attaque Fréquemment appelé " les 5 P " dans la littérature, ces cinq verbes anglophones constituent le squelette de toute attaque informatique : • • • • Probe (Analyser) : Dans un premier temps, une personne mal intentionnée va chercher les failles pour pénétrer le réseau. Pénétrante (Pénétrer) : Une fois plusieurs failles identifiées, le pirate va chercher à les exploiter afin de pénétrer au sein du SI. Persiste (Persister) : une fois le réseau infiltré, le pirate cherchera à y revenir facilement. Pour cela, il installera par exemple des back doors. Cependant, en général, il corrigera la faille par laquelle il s’est introduit afin de s’assurer qu’aucun autre pirate n’exploitera sa cible. Propagate (Propager) : Le réseau est infiltré, l’accès est facile. Le pirate pourra alors explorer le réseau et trouver des nouvelles cibles qui l’intéresseraient. 16 • Paralyze (Paralyser) : Les cibles identifiées, le pirate va agir et nuire au SI13. 2. Types d’attaque Il existe trois types d’attaque : ❖ Les attaques directes Les attaques directes se produisent uniquement lorsqu’un ordinateur est connecté à Internet ou à un réseau local et l’hacker utilise des logiciels pour envoyer les paquets directement à partir de son ordinateur à la victime14. La figure I.3 : ci-après illustre l’attaque directe. Figure I.3 : attaque directe ❖ Les attaques indirectes par rebond Les attaques par rebond constituent un ensemble d’attaque a envoyés à l’ordinateur intermédiaire qui répercute l’attaque vers la victime. Cette attaque est très prisée des hackers. En effet, le rebond a deux avantages : • • Masquer l’identité (l’adresse IP) de l’hacker. Eventuellement, utiliser les ressources de l’ordinateur intermédiaire car il est plus puissant (CPU, bande passante...etc.) pour attaquer. La figure I.4 : illustre une attaque indirecte par rebond 13 ids/ips (univ-mlv.fr) 14 les types d'attaques (securiteinfo.com) 17 Figure I.4 : attaque indirecte par rebond. ❖ Les attaques indirectes par réponse Cette attaque est un dérivé de l’attaque par rebond. Elle offre les mêmes avantages que les attaques par rebond. Le principe de cette attaque est d’envoyer une requête à l’ordinateur intermédiaire pour qu’il transmette la réponse de cette requête vers l’ordinateur victime15. La figure I.5 suivante illustre une attaque indirecte par réponse Figure I.5 : attaque indirecte par réponse 1.2.4. Service de sécurité Le service de sécurité sont des fonctions de sécurité qui réduisent les risques de sécurité. Nous citons les services de sécurité ci-après : • 15 Confidentialité : demande l’information qui se trouve dans le système soit lue que par les personnes autorisées. les types d'attaques (securiteinfo.com) 18 • • • • Authentification : consiste à assurer que seules les personnes autorisées aient accès aux ressources. Intégrité : l’information ne sera modifiée que par les personnes autorisées. Non répudiation : permet de garantir qu’une transaction ne puisse être niée. La disponibilité : demande que l’information qui se trouve dans le système soit disponible aux personnes autorisées16. 1.2.5. Mécanisme de sécurité Le mécanisme de sécurité est une méthode application conçue pour détecter, prévenir et lutter contre une attaque de sécurité17. Voici ci-dessous quelques méthodes de sécurité développées. 1) Cryptographie La cryptographie ou chiffrement est le processus de transcription d'une information intelligible en une information inintelligible par l'application de conventions secrètes dont l'effet est réversible18. La figure I.6. Illustre le fonctionnement de la cryptographie La figure I.6. Illustre le fonctionnement de la cryptographie 2) Firewall Un pare-feu est logiciel et/ou matériel qui filtre et protège un système en bloquant les connexions venant de l’extérieur (entrées) ou de l’intérieur (sorties) pour empêcher ou autoriser l’accès à des services Web Il permet aussi de faire de la translation d’adresse pour servir de routeur. 16 réseaux informatiques, sécurité dans les réseaux - encyclopædia universalis 17 Memoire Online - Mise en place d'un système de sécurité basé sur l'authentification dans un réseau IP. Cas de Mecelco - Rodrigue Mpyana 18 cryptographie : définition et explications (techno-science.net) 19 La figure I.7. Illustre l’emplacement d’un pare-feu dans un réseau Figure I.7 : l’emplacement d’un pare-feu dans un réseau 3) Réseaux privés virtuels (VPN) Un VPN est une technologie réseau qui crée un tunnel chiffré entre une machine sur Internet doté d’une adresse IP quelconque et une passerelle d’accès d’un réseau privé. La machine distante se voit dotée lors de l’établissement du tunnel d’une adresse supplémentaire appartenant au réseau privé qu’elle cherche à atteindre. Le tunnel est une composante indispensable des VPN ; la problématique est la suivante : on va relier deux réseaux privés qui sont séparés par un réseau public (Internet), de façon transparente pour l’utilisateur. Le réseau privé virtuel est une technique permettant aux postes distants de communiquer de manière sure, tout en empruntant des infrastructures publiques (internet). Le VPN repose sur le protocole de tunnellisation. Ces protocoles permettent aux données passantes d’une extrémité à l’autre du VPN d’être sécurisées par des algorithmes de cryptographie La figure I.8. Illustre L’architecture du VPN. Figure I.8 : L’architecture du VPN 20 I.3. SYSTEME DE DETECTION ET PREVENTION D’INTRUSION 1.3.1. Introduction De nos jours, les attaques sont si rapides qu’avant, et tout le monde est exposé aux pertes des données essentielles. Malheureusement, les systèmes antivirus ou les pares-feux sont la plupart du temps inefficaces face à ces nouvelles menaces. C’est pour pallier ce manque que sont apparus récemment des nouveaux composants de sécurité appelés systèmes de détection et de prévention des intrusions. En effet, le but de ce chapitre est tout d’abord, de présenter la notion de système de détection d’intrusion, et par la suite le système de prévention d’intrusion. 1.3.2. Système de détection d’intrusion (IDS) Le premier modèle de détection d’intrusion est développé en 1984 par Dorothy Denning et Peter Neuman, qui s’appuie sur des règles d’approche comportementale. Ce système appelé IDES (Intrusion Détection Expert System), en 1988 Il est développé à un IDS (système de détection d’intrusion). Ce dernier est un ensemble de composants logiciels et/ou matériels destiné à repérer des activités anormales ou suspectes sur la cible analysée, un réseau ou un hôte, son rôle est de surveiller les données qui transitent sur ce système. Il permet ainsi d’avoir une action d’intervention sur les risques d’intrusion. Afin de détecter les attaques que peut subir un système ou réseau informatique. 1.3.2.1. Définition d’un système de détection d'intrusion Un IDS (Intrusion Detection System) est un ensemble de composants logiciels et/ou matériels dont la fonction principale est de détecter et analyser des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Certains termes sont souvent employés quand on parle d'IDS : • Faux positif : une alerte provenant d'un IDS, mais qui ne correspond pas à une attaque réelle. • Faux négatif : une intrusion réelle qui n'a pas été détectée par l'IDS. 21 1.3.2.2. But de l’IDS Les systèmes de détection d’intrusion sont des outils ayant pour but de détecter des activités malicieuses sur la cible qu'ils surveillent. Une alerte sera déclenchée dès lors qu’un comportement malicieux est détecté19. I.3.2.3. Types des systèmes de détection d’intrusion À cause de la diversité des attaques que mettent en œuvre les pirates, la détection d’intrusion doit se faire à plusieurs niveaux. Il existe donc différents types d’IDS : • • Les N-IDS Les H-IDS 1) Les NIDS (Network-based Intrusion Detection System) Les NIDS sont des IDS dédiés aux réseaux. Ils comportent généralement une machine qui écoute sur le segment de réseau à surveiller, un capteur et un moteur qui réalise l'analyse du trafic afin de détecter les intrusions en temps réel. Un NIDS écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux20. La figure I.9. Illustre Le Système de détection d’intrusion réseau. Figure I.9 : Système de détection d’intrusion réseau. L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs (souvent de simples hôtes) sont placés aux endroits stratégiques du réseau et génèrent les alertes s’ils détectent une attaque. Ces alertes sont envoyées à une console sécurisée qui les analyse et les traite éventuellement. Cette console est généralement située sur un réseau isolé qui relie uniquement les capteurs et la console. On peut placer les capteurs dans deux endroits différents : 19 https://web.maths.unsw.edu.au/~lafaye/CCM/detection/ids.htm, visitée le 31 octobre 2020, 22h14’. 20 BenbrahimEmbarka_AmicheSelyna 22 ➢ A l’intérieur du pare-feu : Si les capteurs se trouvent à l’intérieur du pare-feu, il sera plus facile de dire si le pare-feu a été mal configuré et nous pouvons ainsi savoir si une attaque est venue par ce pare-feu. ➢ A l’extérieur du pare-feu : Les capteurs placés à l’extérieur du pare-feu servent à la détection et l’analyse d’attaques. Il offre l’avantage d’écrire dans les logs, ainsi l’administrateur voit ce qu’il doit modifier dans la configuration du pare-feu. Quelques exemples des NIDS : ➢ ➢ ➢ ➢ ➢ NetRanger [http://www.cisco.com] ; Dragon [http://www.securitywizards.com] ; NFR [http://www.nfr.net] ; Snort [http://www.snort.org]; DTK [http://all.net/dtk/dtk.html]; Les Avantages de N-IDS Les avantages de N-IDS sont • • • • Les capteurs peuvent être bien sécurisés puisqu’ils se contentent d’observer le trafic. Détecter plus facilement les scans grâce aux signatures. Filtrage de trafic. Assurer la sécurité contre les attaques puisqu’il est invisible. Les Inconvénients de N-IDS Les inconvénients de NIDS sont • La probabilité de faux négatifs (attaques non détectées) est élevée et il est difficile de contrôler le réseau entier. • Ils doivent principalement fonctionner de manière cryptée d’où une complication de l’analyse des paquets. A l’opposé des IDS basés sur l’hôte, ils ne voient pas les impacts d’une attaque. 2) Les HIDS (Host-based Intrusion Detection System) Les systèmes de détection d’intrusion basés sur l’hôte analysent exclusivement l’information concernant cet hôte. Comme ils n’ont pas à contrôler le trafic du réseau mais seulement les activités d’un hôte ils se montrent habituellement plus précis sur les types d’attaques. De plus, nous remarquons immédiatement l’impact sur la machine concernée comme par exemple si un utilisateur l’attaquait avec succès. Ces IDS utilisent deux types de sources pour fournir une information sur l’activité : les logs et les traces d’audit du système d’exploitation. Chacun a ses 23 avantages : les traces d’audit sont plus précises et détaillées et fournissent une meilleure information alors que les logs qui ne fournissent que l’information essentielle sont plus petits21. Figure I.10 : Ci-dessous Système de détection d’intrusion hôte. Figure I.10 : Système de détection d’intrusion hôte. Quelques exemples des HIDS : ➢ ➢ ➢ ➢ Tripwire [http://www.tripwire.com/products/index.cfml]; SWATCH [http://freshmeat.net/redir/swatch/10125/url_homepage/swatch]. Dragon Squire [http://www.enterasys.com/ids/squire/]; Tiger [http://freshmeat.net/redir/tiger-audit/30581/url_homepage/tiger] ; Avantages Les Avantages de H-IDS sont : • • • Découvrir plus facilement un Cheval de Troie puisque les informations et les possibilités sont très étendues. Détecter des attaques impossibles à détecter avec des IDS réseau puisque le trafic est souvent crypté. Observer les activités sur l’hôte avec précision. Inconvénients Les Inconvénients des H-IDS sont : • Ils ont moins de facilité à détecter les scans. • Ils sont plus vulnérables aux attaques de type Dos. Ils consomment beaucoup de ressources CPU. 21 BenbrahimEmbarka_AmicheSelyna 24 3) IDS hybride : Les systèmes de détections d’intrusions hybrides, rassemblent les caractéristiques de plusieurs systèmes de détections différents. En pratique, on trouve la combinaison des NIDS et HIDS qui permettent de surveiller le réseau et l’hôte. Les sondes agissent comme un NIDS ou un HIDS Il permet de réunir les informations de diverses sondes placées sur le réseau. L’exemple le plus connu dans le monde Open-Source est Prélude. Cet IDS permet de stocker dans une base de données des alertes provenant de différents systèmes relativement variés. Utilisant Snort comme NIDS, et d’autres logiciels tels que Samhain en tant que HIDS, il permet de combiner des outils puissants tous ensemble pour permettre une visualisation centralisée des attaques. I.3.2.4. Caractéristiques d’un système de détection d’intrusion : Parmi les caractéristiques souhaitables trouvées dans un système de détection d’intrusion nous pouvons citer : ➢ Résister aux tentatives de corruption, c'est-à-dire, il doit pouvoir détecter s’il a subi luimême une modification indésirable. ➢ Utiliser un minimum de ressources de système sous surveillance. ➢ S’adapter au cours du temps aux changements du système surveillé et du comportement des utilisateurs. ➢ Être facilement configurable pour implémenter une politique de sécurité spécifique d’un réseau. 1.3.2.5. Méthodes de détection des intrusions Pour bien gérer un système de détection d’intrusion, il est important de comprendre comment celui-ci fonctionne : • Comment reconnaitre /définir une intrusion ? • Comment une intrusion est-elle détectée par un tel système ? • Quels critères différencient un flux contenant une attaque d’un flux normal ? Ces questions nous ont amené à étudier le fonctionnement des IDS. Il existe plusieurs méthodes permettant de détecter une intrusion : ❖ La première consiste à détecter une activité suspecte dans le comportement de l’utilisateur la détection d’anomalies ❖ La seconde, consiste à détecter des signatures d’attaque connues dans les paquets la reconnaissance de signatures ➢ La détection d’anomalies et la reconnaissance de signatures 25 Cette technique s’appuie sur les connaissances des techniques utilisées par les attaquants contenus dans la base de données, elle compare l’activité de l’utilisateur à partir de la base de données, ensuite elle déclenche une alerte lorsque des événements hors profil se produisent. La figure I.11 : illustre méthodes de détection d’anomalie Figure I.11 : méthodes de détection d’anomalie22. • La détection D’anomalies : Cette technique consiste à détecter une intrusion en fonction du comportement de l’utilisateur ou d’une application, autrement dit c’est créer un modèle basé sur le comportement habituel du système et surveiller toute déviation de ce comportement. Plusieurs paramètres sont possibles : la charge CPU, le volume de données échangées, la durée et l’heure de connexion sur des ressources, la répartition statistique des protocoles et applications utilisés...etc. La figure I.12 suivante présente une approche comportementale. Figure I.12 : illustration de l’approche comportementale23. LABED Ines. Proposition d’un système immunitaire artificiel pour la détection D’intrusions. 2005-2006. 23 Abderrahim ESSAIDI. Conception d’une zone démilitarisée (dmz). 2006-2007. 22 26 • La reconnaissance de signature Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou signatures) d'attaques connues. Ce type d'IDS est purement réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour fréquentes. De plus, l'efficacité de ce système de détection dépend fortement de la précision de sa base de signature. C'est pourquoi ces systèmes sont contournés par les pirates qui utilisent des techniques dites "d'évasion" qui consistent à maquiller les attaques utilisées. Ces techniques tendent à faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Il est possible d’élaborer des signatures plus génériques, qui permettent de détecter les variantes d’une même attaque, mais cela demande une bonne connaissance des attaques et du réseau, de façon à stopper les variantes d’une attaque et à ne pas gêner le trafic normal du réseau. 1.3.2.6. Comportement après la détection d’intrusion Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive est disponible pour tous les IDS, la réponse active est plus ou moins implémentée. • Réponse passive : Lorsqu’une attaque est détectée, le système d’intrusion ne prend aucune action, il génère seulement une alarme en direction de l’administrateur système sous forme d’une alerte lisible qui contient les informations à propos de chaque attaque. Les réponses passives se traduisent la plupart du temps par des opérations de reconfiguration automatique d’un firewall afin de bloquer les adresses IP source impliquées dans les intrusions. Mais si le pirate prend une adresse IP sensible telle qu’un routeur d’accès ou un serveur DNS, l’entreprise qui implémente une reconfiguration systématique d’un firewall risque tout simplement de se couper du monde extérieur.24 • Réponse active : La réponse active consiste à répondre directement à une attaque, elle implique des actions automatisées prises par un IDS qui permet de couper rapidement une connexion suspecte quand le système détecte une intrusion. Par exemple interrompre le progrès d’une attaque pour bloquer ensuite l’accès suivant de l’attaquant. Mais cela risque de se voir exposer à une contre-attaque part le pirate. Il faut noter que les différents IDS présents sur le marché ne disposent pas toujours de l’ensemble des fonctionnalités présentées ici. Nous allons tout d’abord étudier les modes de détection d’un IDS, avant de présenter les réponses possibles à une attaque. 1.3.2.7. La nature des données analysées La nature des données analysées sont composées de : LABED Ines. Proposition d’un système immunitaire artificiel pour la détection d’intrusions. 2005-2006. 24 27 • Les audits systèmes : Les audits systèmes sont produits par le système d’exploitation d’un hôte. Ces données permettent à un IDS de contrôler les activités d’un utilisateur sur un hôte. • Les audits applicatifs : Les données à analyser sont produites directement par une application, par exemple des fichiers logs générés par les serveurs FTP et les serveurs Web. L’avantage de cette catégorie est que les données produites sont très synthétiques, elles sont riches et leur volume est modéré. Ces types d’informations sont généralement intégrés dans les IDS basés sur l’hôte. • Les sources d’informations réseau : Ce sont des données du trafic réseau. Cette source d’informations est prometteuse car elle permet de rassembler et analyser les paquets de données circulant sur le réseau. Les IDS qui exploitent ces sources de données sont appelés : Les IDS basés réseau NIDS. 1.3.3. Système de prévention d’intrusion (IPS) En effet, l’IPS est un outil de protection et sécurité des systèmes d’information contre les intrusions, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d’une attaque. C’est un IDS actif, il empêche toute activité suspecte détectée au sein d’un système25. 1.3.3.1. Types de l’IPS Il existe deux types de l’IPS : • HIPS • IPS 1.3.3.1. 1. La détection d’intrusion basée sur l’hôte HIPS Les HIPS installé sur le système permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, ...etc. En cas de détection de processus suspect le HIPS peut bloquer les comportements anormaux tels que : • • • • • • Lecture / écriture des fichiers protégés. Comportement des certains applicatifs. Accès à des ports non autorisés. Tentative d’exploitation de débordement de pile (détection de Shell code). Accès à certaines zones de la base de registre. Connexions suspectes. ❖ Les Avantages de HIPS : Les avantages de HIPS sont : 25 baudoin-karle-ids-ips, o.p cit 28 • • • • Protège les systèmes des comportements dangereux et pas seulement du trafic. Inconvénients : Coût d’exploitation. Problèmes d’interopérabilité (capacité de plusieurs systèmes). Problèmes lors de mise à jour de système. ❖ Les inconvénients d’IPS Un IPS possède des nombreux inconvénients : • • Ils bloquent toute activité qui lui semble suspecte, mais n’étant pas fiable à 100 % ils peuvent donc bloquer incorrectement des applications ou des trafics légitimes. • Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc aux pirates d’attaquer un PC. • Ils sont peu discrets et peuvent être découverts lors de l’attaque d’un pirate une fois qu’il aura découvert l’IPS s’empressera de trouver une faille dans ce dernier pour le détourner et arriver à son but. 1.3.3.1.2. La prévention d’intrusion basée sur le NIPS Le NIPS permet de surveiller le trafic réseau, identification et blocage du trafic malicieux, est parfois utilisé pour évoquer la protection des réseaux sans-fil. Deux types de NIPS : Système par analyse comportementale (Content Based IPS) : détection des anomalies protocolaires (proxy transparent). Détection des comportements anormaux (scan de ports, Dos, ...etc.). Basé sur des signatures d’attaques, des agrégations des signatures peuvent permettre la détection des nouvelles attaques. Système par détection des anomalies : Détection des anomalies de trafic, trois approches : Règle : représente l’activité de l’utilisateur légitime sous forme des règles. Neuronal : apprentissage nécessaire par l’analyse du trafic. Statistique : profile d’activité modélisant le trafic d’utilisateur. ❖ L’Avantage de NIPS : L’avantage majeur de NIPS c’est : • Protection active. ❖ Les Inconvénients de NIPS : Les inconvénients qu’on peut constater dans le NIPS sont : 29 • • • Point sensible du réseau. Faux positifs (risque de blocage de trafic légitime). Coût complexité additionnelle / Exploitation supplémentaire. 1.3.3.1.3 La détection d’intrusion basée sur noyau KIPS Les KIPS (Kernel Intrusion Prevention System) leur particularité est des exécuter dans le noyau d’une machine, pour y bloquer toute activité suspecte. Si cela est pratique pour empêcher des tentatives d’appels système malveillants permettent de détecter toute tentative d’intrusion et la bloquer directement au niveau du noyau, empêchant ainsi toute modification dangereuse pour le système. Le KIPS peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut ainsi interdire l’exécution du code. Il peut également interdire l’OS d’exécuter un appel système qui ouvrirait un Shell de commande. Puisqu’un KIPS analyse les appels systèmes, il ralentit l’exécution. C’est pourquoi ils sont moins utilisés. 1.3.4. Caractéristiques d’un NIPS Un NIPS a quatre caractéristiques principales26 : • • • • Un NIPS peut détecter des attaques sur plusieurs différents types des logiciels d’exploitation et d’applications, selon l’ampleur de sa base de données. Un dispositif simple peut analyser le trafic pour une grande échelle des centres serveurs sur le réseau, qui fait au NIPS une bonne solution qui diminue le coût d’entretien et d’déploiement. Lorsque les sondes observent l’événement de virus hôte et les différentes parties de réseau, il peut établir l’événement d’un hôte, ou d’un réseau jusque à un niveau d’information plus haut. Le NIPS, peut être invisible pour les attaqueurs à travers un détecteur d’interface qui contrôle juste le trafic du réseau et il ne réagit pas pour les virus déclenchés. 1.3.5. Les limites d’IPS Les principales limites et contraintes des IPS à ce jour semblent être leur mise en place délicate, leur administration rebutante, la possibilité de bloquer tout le réseau en cas de fausse alerte, ainsi que l’inexistence d’un standard actuel27. 1.3.6. La protection de l’entreprise avec un IPS Pour être le plus efficace possible, un bon système de prévention d’intrusion doit donc intégrer certains points fondamentaux essentiel : • 26 27 Assurer une protection par signature : un IPS doit posséder une bibliothèque complète des signatures, régulièrement mise à jour afin de couvrir les attaques David Burns. Ccnp security ips 642-627. Nathalie Dagorn. Détection et prévention d’intrusion : présentation et limites. 30 • • Surveiller tous les ports et protocoles : les attaques modernes peuvent cibler n’importe quelle application exécutée sur un réseau. L’IPS doit donc scanner tout le trafic, indépendamment du port et du protocole. Scanner le trafic entrant et sortant : une fois les agresseurs à l’intérieur du réseau, ils peuvent exfiltrer des informations confidentielles depuis les systèmes compromis. 1.3.7. Terminologie d’empêchement d’intrusion L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs qui sont classifiées dans une des limites suivantes : Vrai positif : Une situation dans laquelle une signature met le feu correctement quand le trafic intrusif est détecté sur le réseau, ceci représente l’opération normale et optimale. Faux positif : Une situation dans laquelle d’utilisation d’une activité normale déclenche une alerte ou une réponse, ceci représente une erreur. Vrai négatif : Une situation dans laquelle une signature ne met pas le feu pendant l’utilisation normal de trafic sur le réseau. Aucune activité malveillante. Ceci représente une opération normale et optimale. Faux négatif : Une situation dans laquelle le système détection ne détecte pas le trafic intrusif bien qu’il y a une activité malveillante, mais le système de sécurité ne réagit pas, dans ce cas représente une erreur. 1.3.8. La Différence entre IPS et Firewall Firewall est un système de contrôle d’accès basé sur des règles statiques autorisant ou refusant certains flux. Il travaille essentiellement au niveau des couches du modèle OSI (de 1 à 4) ce qui est insuffisant pour les intrusions. Contrairement à un IPS qui doit être complètement discret. Ceci implique que les interfaces de la sonde ne doivent pas être visibles (pas d’adresse IP, pas d’adresse MAC), et l’IPS analyse l’intégralité des paquets en transit, depuis les couches réseaux jusqu’au niveau applicatif. Conclusion Dans ce chapitre, nous avons montré les notions des systèmes de détection et de prévention d’intrusions, leurs architecteurs, ainsi que leurs fonctionnements. Ils complètent les taches des autres équipements de sécurité comme les par feux et VPN, anti-virus ...etc. le chapitre suivant nos renseigne comment réussir la configuration, après installation, du système de détection et de prévention d’intrusion afin de mieux sécuriser le réseau, Nous allons montrer également un test permettant la confirmation les bonnes installation et configuration de notre système. 31 CHAPITRE II : ETUDE DE CAS : INSTITUT SUPERIEUR D’INFORMATIQUE CHAMINADE II.1. INTRODUCTION Ce chapitre, nous présenterons l’environnement de notre entreprise, ou nous allons définir l’activité principale de l’Institut supérieur d’Informatique Chaminade, l’organigramme qui la constitue ainsi que les tâches associées à chaque département. Nous nous attellerons sur son historique, sa situation géographique, et sur les aspects informatiques afin de comprendre l’architecture réseau de l’institut pour enfin, illustrer les différents équipements qui la constituent. II.2. PRESENTATION DE L’INSTITUT SUPERIEUR D’INFORMATIQUE CHAMINADE L’institut supérieur d’informatique Chaminade, ISIC en sigle est un établissement privé d’enseignement supérieur crée en 2009 par la société de Marie (marianiste), l’une des congrégations religieuses catholiques. Cette institution évolue exclusivement dans le domaine de l’informatique. L’ISIC organise des enseignements en sciences techniques et informatiques. Il se Situe dans la ville province de Kinshasa en République Démocratique du Congo. Les filières à l’ISIC sont organisées de la manière suivante : ❖ Cycle de graduat : Informatique de gestion (IG) ; Informatique industrielle : Réseau et Technique de Maintenance (RTM) ❖ Cycle de Licence : Conception de systèmes informatiques ; Administration Réseaux et Télécommunication ❖ Contact : 32 Adresse : Avenue Kikwit n°1 Q/Mazamba, C/Mont-Ngafula, ville province de Kinshasa ; B.P: 724 Limeté; Email: [email protected]; Site web: www.isic.ac.cd; Contact : +243 824706071/ +243978119048. II.3. HISTORIQUE L’institut supérieur d’informatique Chaminade, ISIC en sigle, est une œuvre des religieux Marianiste créer par l’arrête n°003MINESV/MML/DESP/KOB/2010 du 7/01/2010 est situé sur l’avenue KIKWIT n°1 dans la commune de Mont-Ngafula. Il est la première œuvre éducative de la société de Marie (marianiste) en République Démocratique du Congo, initié par le Frère Christophe MUYUKA KOLELE. Depuis L’acquisition du terrain, les Travaux de construction, la conception, la Planification et la mise en œuvre de ce projet de 2005 en 2008, c’est en 2009 que L’I.S.I.C nait avec la réception du bâtiment qui abrite les bureaux administratifs, les salles de cours, la bibliothèque et les salles de machines28. C’est donc un apport substantiel de marianiste au processus de reconstruction du pays au volet éducatif. Le 17 Octobre 2009, l’aboutissement de ce projet de création d’une institution à caractère technique et professionnelle par les révérends frères, Christophe MUYULA, Jean Bosco MUKOLO, Brice Octave NGAKONOMO, et Willy Malie MBOMA tous de la congrégation des marianistes. À l’ouverture de l’année académique 2009-2010, 101 étudiants premiers bénéficiaires de ce projet étaient inscrits à l’Institut Supérieur d’Informatique CHAMINADE dès l’ouverture de ses portes aux étudiants pour la première fois le 02 novembre 2009. En raison de son historique et par sa position actuelle, l’institut supérieure d’informatique Chaminade est compté parmi les quatre meilleures universités et instituts supérieurs en République Démocratique du Congo ou il joue un grand rôle pour garder ce standard, fournir une formation de qualité à tous ses bénéficiaires. 28 Source département informatique ISIC, 2021. 33 Cependant, nous sommes conscients que ce rôle doit être accompli dans un contexte des paradigmes changeants de l’enseignement au niveau supérieur et surtout dans le domaine des nouvelles technologies de l’information et de la communication. La qualité de l’enseignement exigée par l’ISIC est démontrée dans le contexte d’une arène nationale et internationale. La société de Marie (marianiste) est une congrégation religieuse catholique masculine fondée en 1817 à Bordeaux par Guillaume joseph Chaminade le 8 avril 1761, Périgueux, 22 janvier 1850 Bordeaux, ordonné prêtre en 1785, ayant refusé de prêté serment à la constitution civile du clergé lors de la révolution, réfugié en Espagne, béatifiée par jean Paul II, le 3 septembre 2000 à Rome, cette congrégation a pour but l’enseignement de la jeunesse articulé sur les caractéristiques de l’éducation marianiste qui sont les suivants : Vivre dans une ambiance de l’esprit de famille ; Eduquer dans une perspective de foi ; Offrir une éducation intégrale de qualité ; Préparer à servir la justice et la paix ; Rendre capable de s’adapter au changement. II.4. OBJECTIF ET MISSION L’objectif ultime de l’ISIC est de promouvoir une formation intégrale et réduire les disparités entre les sexes dans le domaine de nouvelles technologies. A cela, il offre aux jeunes de la République Démocratique du Congo et particulièrement ceux de Kinshasa une formation technique, intellectuelle, morale, sociale et économique. II.5. ORGANIGRAMME L’organigramme de l’ISIC est présenté ci-dessous . Pouvoir organisateur Directeur Général Chargé de la Recherche Scientifique Sec. Gén. Académique Chef de Section IG Sec. De Direction Admin. Réseau Chef de Section IG Appariteur Sec. Gén. Administratif Bibliothèque Technicien de Surface Administratif du Budget Gardiens 34 Figure II.1 : Organigramme de L’ISIC II.5.1. Description des postes Dans cette partie, nous allons décrire les différentes tâches ou organes de l’ISIC II.5.1.1. Pouvoir organisateur Le pouvoir organisateur est la société de Marie. Il prend de grandes décisions sur l’œuvre, notamment la nomination du comité de gestion et joue le rôle de donner des plans stratégiques pour que les objectifs assignés à l’institut soient effectivement atteints. Ce pouvoir organisateur est représenté par les membres effectifs de la société de Marie. II.5.1.2. Directeur général (DG) Le directeur général supervise et coordonne l’ensemble des activités de l’établissement. À ce titre : • Il assure l’exécution des décisions du pouvoir organisateur, du comité de gestion et du conseil académique ; • Il veille au respect du statut et règlement de l’institut ; • Il ouvre et clôture les sessions des cours et des examens ; • Il représente l’institut dans toutes ses relations extérieures officielles avec les autorités tant nationales qu’internationales ; • Il contresigne les diplômes académiques légaux et fait un rapport annuel au pouvoir organisateur sur le fonctionnement l’institut. II.5.1.3. Secrétaire général académique (SGA) Le secrétaire général académique supervise et coordonne les activités qui relèvent de son ressort. Dans la réalisation de ses tâches, il est directement assisté par les chefs de section. À ce titre : • Il est chargé de suivre chaque jour les activités de tous les secteurs académiques ; • Il fait rapport au directeur général dans les conditions prévues ; • Il assiste de façon régulière aux réunions des sections et à toutes d’une certaine importance pour la vie de l’institut ; • Il rédige chaque semestre un rapport détaillé sur la vie académique ; • Il organise le recrutement du personnel académique et scientifique ; • Il vérifie l’exécution des programmes des cours dans toutes les sections et supervise les recherches scientifiques ; 35 • Il informe le comité de gestion à chaque réunion des problèmes académiques les plus importants qui se posent à l’institut. II.5.1.4. Secrétaire général administratif (SGAD) Le secrétaire général administratif est chargé de coordonner et de superviser les activités suivantes : • La gestion du personnel et des œuvres estudiantines ; • L’entretien et la maintenance des infrastructures et de l’environnement. II.5.1.5. Conseil de section Le conseil de section veille au bon déroulement du calendrier académique et de la recherche scientifique à l’institut. Il contrôle l’avancement des cours et propose au conseil académique les horaires des cours et des examens, la constitution des membres de jury pour la délibération des examens. Le conseil de sections travaille sous la direction et la supervision du chef de section. II.5.1.6. Administrative du budget Autrement appelée gestionnaire financière, elle est chargée de percevoir les frais académiques de chaque étudiant. Elle fait la prévision budgétaire ainsi que le suivi d’exécution du budget. II.5.1.7. Administrateur de Réseau Il est chargé de gérer toutes les ressources matérielles et logicielles du réseau informatique de l’institut. II.5.1.8. Secrétaire de direction Elle travaille en étroite collaboration avec tout le service académique de l’institut et assure les tâches suivantes : • La saisie des documents académiques, l’élaboration des fiches de suivi des cours et les listes des étudiants pour les examens ; • Le suivi des heures des cours attribuées à chaque professeur de façon que ses heures soient rigoureusement respectées ; • La réception de différents dossiers de ceux qui sollicitent la charge horaire des cours ou soit de ceux qui sont à la recherche de l’emploi. Après la réception, elle apporte les dossiers auprès du secrétaire général académique pour l’examen et la vérification. II.5.1.9. Appariteur L’apparitorat constitue en même temps un service d’accueil. L’appariteur est membre du conseil des services académiques et s’occupe des tâches suivantes : 36 • • • • Il tient à jour les dossiers des étudiants ; Il procède aux inscriptions et réinscriptions des étudiants ; Il suit attentivement la présence aux cours des professeurs et des étudiants ; Il fait partie du comité organisateur des activités académiques et para académiques de l’institut. II.5.1.10. Bibliothèque La bibliothèque constitue un lieu primordial pour la formation académique et les recherches scientifiques. Elle est une source indispensable pour tout établissement d’enseignement supérieur car les professeurs et les étudiants y consultent des livres. L’ISIC dispose d’un certain nombre d’ouvrages mis à la disposition des étudiants. II.5.1.11. Technicien de surface Il est chargé d’assurer la propriété dans toute la surface de l’institut. II.5.1.12. Gardiens Les gardiens sont chargés d’assurer la sécurité de l’institut et des étudiant 37 II.6. ETUDE DE L’EXISTANT INFORMATIQUE Dans cette partie, nous allons présenter les infrastructures matérielles, logicielles et réseaux que possède l’ISIC. II.6.1. Inventaire du système informatique existant Le système informatique existant de l’ISIC est organisé de manière suivante : II.6.1.1. Existant matériel de l’ISIC Désignation Salle 1 Salle 2 D.G SG.AC SG.AD Secrétaire Apparitorat Bibliothèque Bureau Technique Ordinateur Imprimante Laptop Fixe Server Réseau Simple 32 1 1 CPU Dual Core 2.6GHz, P1,44GHz Dual Core 2.6GHz Intel Core i3 2.50GHz Intel Core i3 2.50GHz Intel Celerons i3 2.0GHz Intel Celerons i3 2.0GHz Intel Celerons i3 1.70GHz 1 Intel i5 3.50 GHz 27 1 1 1 1 1 1 Bureau Technique Salle 1 Salle 2 SG.AC Bibliothèque 1 1 Stabilisateur 1 (5000VA) 2 (5000VA) 2 (5000VA) Router 2 (Links E900, Open range) 1 (5000VA) 1(links E900) Switch (24port links) 2(24port links) 1(24port links) Tableau II.1. : Existant matériel de l’ISIC Caractéristique HDD RAM De 40 à 320 Go De 512Mo à 2Go De 320 à 500Go 2Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 1 To 12Go Hub 15(Up links) Marque Dell, HP, Phillips Dell, HP, Phillips Lenovo Lenovo Lenovo Lenovo Dell Lenovo Onduleur 1(1000VA) 38 Système d’exploitation Windows 10 Version Professionnel 64bits Windows 10 Edition intégrale Professionnel Serveur linux Ubuntu 14.4 Programme Microsoft office 2016, antivirus Kaspersky, Google chrome, Visual studio 2012, SQL Server. Microsoft office 2016, antivirus Kaspersky, Google chrome, Visual studio 2012, SQL Server. Serveur DNS, DHCP, WEB, SQL. Tableau II.2. : Service existant et logiciel de l’ISIC Licence Non Non Open source 39 L’ISIC dispose d’un serveur non dédié ayant des caractéristiques suivantes : ▪ CPU : Intel i5 3.50 GHz ▪ RAM : 12 Go ▪ HDD : 1 To ▪ Système d’exploitation (SE) : Microsoft Windows Server 2019 II.6.1.2. Existant logiciel A l’exception des systèmes d’exploitation et programme d’application, l’ISIC dispose d’un seul logiciel de gestion spécifique appelé Academia. II.6.2. Le réseau informatique de l’ISIC II.6.2.1. Présentation du réseau existant L’ISIC dispose aussi de deux salles des machines servant aux travaux pratiques pour les étudiants. ▪ Salle d’en bas (salle 1) : 32 machines desktop dont 7 de marque INTEX et 25 autres de marque HP ; ▪ Salle d’en haut (salle 2) : 27 machines desktop toutes de marque HP. Ce qui fait un total de 59 machines dotées de microprocesseurs Intel Dual Core, des RAM de 2 et 4 Go ainsi que de disques durs de 160, 80 et 250 et 500 Go. Elles utilisent comme systèmes d’exploitation : • Windows XP, service Pack 3 ; • Windows 7 Edition intégrale ; • Windows 10 • Linux Ubuntu. Les programmes qui y sont installés servent aux travaux pratiques pour les étudiants, nous pouvons citer : • MS Office 2016 et 2019 ; • NetBeans IDE 7.3; • Visual Studio Professional 2012 ; • Oracle VM VirtualBox ; • Cisco Packet Tracer 40 II.6.2.2. Caractéristiques du réseau L’ISIC dispose d’un réseau avec les caractéristiques suivantes : • • • • • • • • Découpage fonctionnel : Intranet ; Topologie physique : Etoile ; Topologie logique : Ethernet ; Architecture : client-serveur ; Système d’exploitation : Windows 7, 8,10, Linux ; Protocole : TCP /IP, DHCP, DNS ; Structure : câbles à paire torsadée (UTP) et sans fil ; Equipement spéciaux : ▪ Equipements spéciaux : ✓ 2 Routeurs sans fil ; ✓ 1 Routeur central (Microtik) ; ✓ Des Switch ; ✓ 1 Onduleur ; • Support de transmission filaire : câble UTP et FTP ; II.6.2.3. Plan d’adressage En septembre 1981, est publié le RFC790 qui entérine la création de trois classes d’adresses A, B et C. Le procédé retenu tente de satisfaire tout le monde puisqu’il permet la coexistence de découpages (split) différents. a) Adresses de classe A 126 réseaux possibles : • Première adresse de classe A : 1.0.0.1 • Dernière adresse de classe A : 126.255.255.254 • Masque naturel : 255.0.0.0 • Les adresses réseau « 0 » et « 127 » sont réservées. Un réseau de classe A peut comprendre 224-2 = 16 777 214 adresses. b) Adresses de classe B 16 384 réseaux possibles : Première adresse de classe B : 128.0.0.1 41 Dernière adresse de classe B : 191.255.255.254 Masque naturel : 255.255.0.0 Un réseau de classe B peut comprendre 216-2 = 65 534 adresses. c) Adresses de classe C 2 097 152 réseaux possibles : • Première adresse de classe C : 192.0.0.1 • Dernière adresse de classe C : 223.255.255.254 • Masque par défaut : 255.255.255.0 Un réseau de classe C peut comprendre 224-2 = 254 adresses. Les adresses IP sont attribuées manuellement au niveau des salles de machines et autour de certains équipements essentiels tels que : le routeur, les imprimantes, les machines, le serveur, etc. pour permettre une gestion meilleure et efficace. Par contre, certaines machines obtiennent leurs adresses automatiquement grâce aux services du protocole DHCP. Pour le plan d’adressage de son réseau, l’ISIC utilise le VLSM et le CIDR, c’est à dire le réseau ne tient pas compte de la logique de classe : • Masque de sous réseau : 255.255.255.192 42 II.3. SCHEMA DU RESEAU29 Figure II.2. : Schéma du réseau de l'ISIC 29 Source département informatique ISIC, 2020 43 II.7. Critique de l’existant Un certain nombre de points ont été relevés au cours de notre interview, quelques failles de sécurité sur les points suivants : • Le contrôle de fiabilité • Détection d’intrusion • Authentification II.8. Proposition de solution Comme proposition de solution, nous mettrons en place des outils de sécurité qui permettront l’institut de se prémunir en cas d’une attaque, car beaucoup plus l’extranet n’est sujet à des vulnérabilités. Conclusion Le deuxième chapitre a porté sur la présentation de l’organisme d’accueil, son organigramme, son historique, et le département informatique. À présent, nous avons pris connaissance de l’architecture réseau associée à l’ISIC, le chapitre suivant sera axé sur la mise en place de système de détection et prévention d’intrusion 44 CHAP III : MISE EN PLACE DE SYSTEME DE DETECTION D’INTRUSION INTRODUCTION Dans ce dernier chapitre, nous allons voir un cas pratique concernant PfSense et l’implémentation de la plateforme snort, nous allons voir comment installer les différents composants du NIDS et NIPS, ainsi que toutes les configurations nécessaires. En final, nous allons faire quelques tests que nous avons réalisés en lançant quelques attaques et quelques virus et voir comment ces derniers sont détectés et bloqués1. Présentation de l’architecture réseau de l’isic Figure III.1: l’architecture réseau de l’isic. 1 http://igm.univ-mlv.fr/dr/XPOSE2009/Sonde-de-securite-IDS-IPS/IPS.html. 45 III.1. PRESENTATION DE PFSENSE Basé sur FreeBSD, pfSense est un logiciel de filtrage de flux (Firewall). Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Après une installation en mode console, il s'administre ensuite simplement depuis une interface web et gère nativement les VLAN1. Les avantages de Pfsense : • • • • • • • • • • • Il est adapté pour une utilisation en tant que pare-feu et routeur Il comprend toutes les fonctionnalités de pare-feu coûteux commerciales, et plus encore dans de nombreux cas ; Il peut être installé sur un simple ordinateur personnel comme sur un serveur ; Il est basé sur P0F (Packet Filter), comme iptables sur GNU/Linux généralemet Il permet d’intégrer de nouveaux services tels que l’installation d’un portail captif, la mise en place d’un VPN, DHCP et bien d’autres. Il offre des options de firewalling /routage plus évoluée qu’IPCop Il permet en autre de réaliser : Un portail captif (Lorsqu’un utilisateur ouvre son navigateur internet il est redirigé vers une page lui proposant de s’identifier pour se connecter) : solution proposée par les hotspot. Un serveur VPN De réaliser du Load Balancing MultiWAN (utiliser deux connexion Internet avec 2 FAI différents pour avoir une redondance et ainsi éviter les pannes ADSL). La configuration se fait dans l'interface web, sans rien toucher à la ligne de commande. Cela implique une intervention minimum sur les machines sauf pour des maintenances matérielles ou de grosse mise à jour qu'il est préférable de faire sur les machines. Les services proposés Plusieurs services peuvent être gérés par pfSense. Ils peuvent être arrêtés ou activés depuis son interface. Voici la liste des services : • Système de basculement (Failover) par le protocole CARP. • VPN site à site OpenVPN et IPSec. • VPN client PPTP. • Proxy et Blacklist SQUID et SQUIDGuard. 1 http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.html 46 • IDS-IPS Snort. • Répartition de charge avec LoadBalancer. • Vue sur la Consommation de Bande Passante avec Bandwithd et Ntop pour plus de détails. • VPN point à point Stunnel. • Partage de bande passante Traffic Shaper.µ Parmi ces services nous mettrons en place l’’outil IDS-IPS Snort. • • Version de Pfsence Pfsence 2.0.3 Platforme d’instalaltion Vmware Workstation 9 Si vous êtes habitué à l’installation des OS, cette partie n’est pas faites pour vous. Bien évidement il faut disposer d’une image ISO pour procèder à l’instalaltion, les images sont en libre téléchargement depuis http://pfsense.org/index.php@option=com_content&task=view&id=58&Itemid=46.html , de même cette section de téléchargement offre des images VMware prêtes. Notre lab va se baser sur la version 2.0.3 de PfSense, il sera installé sur une machine virtuelle VMware Workstation 9. Les prérequis matériels pour l’installation sont : • • • RAM : 512M. HDD : 1Gb 2 cartes réseaux. Logiciel pour l’installation sont : • Pfsense III.2. CONFIGURATION DES ADRESSES IP SOUS pfsense Après avoir créé la machine virtuelle et installé le pfsense, nous allons configurer les adresses IP. Sur le menu suivant on choisit l’option n˚2 pour configurer les interfaces, puis deux options apparaissent, celle de WAN et celle de LAN. 47 Figure 3.2: configuration l’interface du WAN. Nous commençons par la configuration du WAN en tapant 1, et nous aurons deux options soit le DHCP qui délivre l’adresse IP du WAN ou en l’attribuant une adresse manuellement comme dans notre cas 192.168.43.200, puis en choisissant le masque, dans notre cas sera 24, après nous attribuerons l’adresse IP de la passerelle. 48 Figure III.3: attribution d’une adresse IP pour l’interface du WAN. Pour l’adresse IP de ipv6, nous n’avons pas besoin de la configurer, alors nous tapons sur entrer directement. Quant au navigateur web nous choisissons le http et nous validons par « y » ou bien en le convertissant en https et en tapant « n », suivi par entrer. Figure III.4: attribution d’une adresse ipv6 pour l’interface du WAN. III.2.1. Configuration de l’interface de pfsense. 49 Accéder à l’interface web en entrant l’adresse IP du LAN dans un navigateur dans notre cas : 192.168.3.100. Nous arrivons sur la page de connexion de PfSense dont les identifiants sont : Login : admin mot de passe : pfsense La figure III.6. Illustre la configuration l’interface de pfsense. Figure 3.5: configuration d’interface pfsense. III.3. INSTALLATION ET CONFIGURATION DE snort III.3.1. Présentation de snort : SNORT est un outil open source de NIDS, il est capable d’écouter sur une interface afin d’effectuer une analyse du trafic en temps réel, de logger les paquets IP, de rechercher des correspondances de contenu, le but étant de détecter une grande variété d’attaques connues. SNORT peut fonctionner en quatre modes différents : • • • • SNIFFER (capture et affichage des paquets, pas de log) PACKET LOGGER (capture et log des paquets) NIDS (analyse le trafic, le compare à des règles, et affiche des alertes) puis IPS (détection d’attaques et prévention de celles-ci). 50 III.3.2. Présentation de l’architecture réseau avec IDS et IPS Voici l’emplacement de snort et pfsense dans le réseau qui nous permettra de tester SNORT afin de mettre en avant ses fonctions de NIDS et d’IPS : Figure III.6: Présentation de l’architecture réseau. 51 Installation et configuration de snort La première étape est l’installation du package SNORT dans pfsense (system->packages->SNORT) : Figure III.7: installation package de snort. L’installation étant maintenant faite, la seconde étape importante est la création d’un compte sur http://snort.org, afin de pouvoir récupérer les règles prédéfinies en temps voulu. Figure III.8: création de compte sur le site de snort. Cliquez sur l’onglet Paramètres globaux et activer l’ensemble des règles de téléchargements à utiliser. 52 Soit nous utilisons le Snort VRT (comme dans notre cas), soit Emerging Threats (ET) Rules. Après, une zone de texte sera affichée pour entrer le code unique de l’abonné obtenu avec l’abonnement ou l’enregistrement. Figure III.9: code d’activation des règles de snort. Donc avec un intervalle de 12 heures visant la mise à jour sélectionnée, Snort vérifiera la Snort VRT 3 minutes après minuit et 3 minutes après midi chaque jour pour toutes les mises à jour des paquets des règles affichés. Figure III.10: mise à jour des paquets des règles. 53 Nous Validons ensuite en cliquant sur le bouton « save » en bas de page. SNORT va automatiquement télécharger les règles (premium rules) depuis snort.org grâce à notre Oinkmaster code : Figure III.11: télécharger les règles de snort. Toutes les règles ainsi téléchargées sont regroupées sous forme de catégorie dans l’onglet « Wan categories », à nous de sélectionner celles qui correspondent aux attaques que nous voulons détecter sur notre réseau. 54 Figure III.12: activation des règles. Maintenant, nous allons ajouter une nouvelle interface. Pour cela, nous cliquons sur l’onglet Snort Interfaces puis sur ajouter. Figure III.13: ajouter l’interface du WAN. Nous allons configurer l’interface du WAN et modifier que ce qui est nécessaire1. 1 BenbrahimEmbarka_AmicheSelyna 55 Figure III.14: modification des paramètres du WAN. La configuration de système de détection et de prévention d’intrusion est désormais terminée, la machine de supervision peut déjà consulter les alertes ainsi que la liste des adresses IP bloquées. La liste des alertes 56 Figure III.15: Configuration des alertes. III.4. Test de fonctionnement III.4.1. Zenmap Zenmap a été conçu pour détecter en scannant les ports ouverts sur le réseau et obtenir des informations sur l’OS d’un système distant, il utilise plusieurs protocoles (UDP, TCP, IP, ICMP) pour générer un audit de sécurité1. Par défaut Zenmap scanne les ports de 1 à 1024 et les ports indiqués dans le fichier nmapservices. Zenmap est un outil puissant, versatile, indispensable à tout ASR. En combinant ses diverses options, il offre une grande souplesse qui permet d'analyser tout réseau, tester le filtrage, les filtres IP, de découvrir les ports ouverts, de découvrir de nouvelles machines (!) Un petit plus, il est libre et gratuit et c''est le meilleur outil pour faire cela (source HSC). Toutefois il faut être prudent, un scan est équivalent à une tentative d'intrusion, et certaines méthodes de scan peuvent entraîner des dysfonctionnements sur une machine2. « Scanme.nmap.org est gracieusement fourni par l'auteur de Nmap afin de tests ! » 1 2 JABOU Chaouki. Ter détection d’anomalies sur le réseau. 2009. http://www.insecure.org/nmap/man 57 Figure III.16: test de fiabilité d’IDS et IPS. Une fois le scan de port lancé, la station de supervision peut très rapidement constater des alertes ainsi que l’IP 192.168.43.159 (notre attaquant) a été bloquée1 : Figure III.17: La liste des alertes après le test. 1 JABOU Chaouki. Ter détection d’anomalies sur le réseau. 2009. 58 Figure III.18: La liste des adresses IP bloquées après le test. Conclusion Dans ce chapitre, nous avons présenté des outils importants pour la détection et la prévention d’intrusion. À savoir Pfsense et Snort que nous avons configurer pour détecter et bloqué les alertes et le Zenmap qui nous as servi pour le scan des ports. Nous avons donné toutes les étapes d’installation et configuration de ces outils. Les systèmes de détection de prévention d’intrusions, en particulier snort, peuvent être assimilés à des simples alarmes qui se déclenchent une fois une intrusion détectée et bloquée. 59 CONCLUSION GENERALE La sécurité des réseaux informatiques demeure encore un sujet très sensible voir complexe, pour les acteurs du monde informatique, car les variables qui tournent autour de ce sujet sont souvent difficiles à maitriser. Ce travail nous a permis d’étudier comment sécuriser un réseau informatique d’une organisation. La problématique était de savoir quels mécanismes de sécurité pourront au mieux réduire le risque de sécurité réseau d’une organisation. Nous avons pensé aux mécanismes de contrôle d’accès et d’intégrité des données dont le filtrage, le scannage et la détection et la prévention d’intrusions réseaux. Dans ce travail nous avons mis en place le pfsense (firewall) pour le filtrage des données en entrée et en sortie du réseau de l’ISIC, le Snort pour la détection et la prévention des intrusions réseaux et Zenmap qui est un outil qui permet à l’administrateur du réseau d’effectuer le scannage des ports logiques régulièrement en vue de détecter les ports ouverts pour les fermer en vue de réduire le risque de sécurité. Le résultat des tests de notre système est satisfaisant, mais cela ne veut pas dire que notre système est parfaitement efficace, car aucun système de sécurité informatique permettant de garantir une sécurité fiable à 100%. 60 BIBLIOGRAPHIE I. OUVRAGES 1. 2. 3. 4. 5. BenbrahimEmbarka_AmicheSelyna, 2017 ; David Burns. Ccnp security ips 642-627. baudoin-karle-ids-ips, o.p cit Abderrahim ESSAIDI. Conception d’une zone démilitarisée (dmz). 2006-2007. LABED Ines. Proposition d’un système immunitaire artificiel pour la détectiond’intrusions. 2005-2006. II. THESE, MEMOIRE ET NOTE DE COURS 1. Mémoire Online - Mise en place d'un système de sécurité basé sur l'authentification dans un réseau IP. Cas de Mecelco - Rodrigue Mpyana 2. Professeur MPUKU F., notes de Méthode de Recherche Scientifique, G2 IG et RTM, ISIC, Kinshasa ,2018-2019. Inédit. 3. JABOU Chaouki. Ter détection d’anomalies sur le réseau. 2009. 4. DISU NZANGULA Lucien, étude de mise en place d’un système de détection et de prévention de vulnerabilité dans un réseau local, 2019-2020. 5. C.T. Alain TSHIKOLO KABAMBA, notes de réseau 2. III. WEBOGRAPHIE 1. https://fr.wikipedia.org/wiki/mod%c3%a8le_osi, 23 juin 2021 à 11 :37 ; 2. https://wikimemoires.net/2012/09/les-services-de-linternet-e-mail-intranet-etextranet/ ; 3. https://www.lyceerotroudreux.com/images/nsi/modele_tcpip.pdf ; 4. Intranet : avantages et inconvénients pour des solutions entreprise (happeo.com) ; 5. http://www.jdfineart.com/inconvenients-de-intranets-01.html ; 6. Différence entre attaque active et attaque passive - waytolearnx, visité le 30 aout à 14h12’ 7. https://web.maths.unsw.edu.au/~lafaye/CCM/detection/ids.htm, visitée le 31 octobre 2020, 22h14’. 8. Sécurité des systèmes d'information — wikipédia (wikipedia.org), visité le 5 septembre à 3Hh40’ 9. les types d'attaques (securiteinfo.com) , visité le 16 juillet à 1H20’2021 ; 10. ids/ips (univ-mlv.fr)?, visité le 4 juillet à 15H12’2021 ; 11. réseaux informatiques, sécurité dans les réseaux - encyclopædia universalis ; 12. Cryptographie : définition et explications (techno-science.net) ; 61 13. http://igm.univ-mlv.fr/dr/XPOSE2009/Sonde-de-securite-IDS-IPS/IPS.html; 14. http://pfsense.org/index.php@option=com_content&task=view&id=40&Itemid=43.ht ml; 15. http://www.insecure.org/nmap/man 62 TABLE DES MATIERES